Ingestování upozornění Microsoft Defenderu pro cloud do Microsoft Sentinelu

Ochrana integrovaných cloudových úloh v programu Microsoft Defender for Cloud umožňuje detekovat hrozby napříč hybridními a multicloudovými úlohami a rychle na ně reagovat.

Tento konektor umožňuje ingestovat výstrahy zabezpečení z Defenderu pro cloud do Microsoft Sentinelu, abyste mohli zobrazit, analyzovat a reagovat na výstrahy Defenderu a incidenty, které vygenerují, v širším kontextu organizační hrozby.

Vzhledem k tomu, že plány Programu Microsoft Defender pro Cloud Defender jsou povolené pro každé předplatné, je tento datový konektor také povolený nebo zakázaný samostatně pro každé předplatné.

Nový konektor Microsoft Defenderu pro cloud založený na tenantovi ve verzi PREVIEW umožňuje shromažďovat výstrahy Defenderu for Cloud pro celého tenanta, aniž byste museli každé předplatné povolovat samostatně. Využívá také integraci Defenderu for Cloud s XDR v programu Microsoft Defender (dříve Microsoft 365 Defender), aby se zajistilo, že všechny výstrahy Defenderu pro cloud jsou plně zahrnuté do všech incidentů, které obdržíte prostřednictvím integrace incidentů XDR v programu Microsoft Defender.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Synchronizace upozornění

• Když připojíte Microsoft Defender for Cloud ke službě Microsoft Sentinel, stav výstrah zabezpečení přijatých do Služby Microsoft Sentinel se synchronizuje mezi těmito dvěma službami. Pokud je například výstraha v programu Defender for Cloud zavřená, zobrazí se tato výstraha také jako uzavřená v Microsoft Sentinelu.

• Změna stavu výstrahy v defenderu pro cloud nebude mít vliv na stav všech incidentů Microsoft Sentinelu, které obsahují výstrahu Microsoft Sentinelu, pouze výstrahy samotné.

Obousměrná synchronizace upozornění

Povolení obousměrné synchronizace automaticky synchronizuje stav původních výstrah zabezpečení s incidenty Služby Microsoft Sentinel, které tyto výstrahy obsahují. Takže když se například zavře incident Microsoft Sentinelu obsahující výstrahy zabezpečení, odpovídající původní výstraha se automaticky zavře v programu Microsoft Defender for Cloud.

Požadavky

• V pracovním prostoru Microsoft Sentinelu musíte mít oprávnění ke čtení a zápisu.

• U předplatného, ke kterému se chcete připojit ke službě Microsoft Sentinel, musíte mít roli Přispěvatel nebo Vlastník .

• Pro každé předplatné, ve kterém chcete konektor povolit, budete muset povolit aspoň jeden plán v programu Microsoft Defender for Cloud. Pokud chcete povolit plány Programu Microsoft Defender pro předplatné, musíte mít pro toto předplatné roli Security Správa.

• Budete potřebovat, SecurityInsights aby byl poskytovatel prostředků zaregistrovaný pro každé předplatné, ve kterém chcete konektor povolit. Projděte si pokyny ke stavu registrace poskytovatele prostředků a způsoby, jak ho zaregistrovat.

• Pokud chcete povolit obousměrnou synchronizaci, musíte mít u příslušného předplatného roli přispěvatele nebo Správa zabezpečení.

• Nainstalujte řešení pro Microsoft Defender for Cloud z centra obsahu v Microsoft Sentinelu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

Připojení do Microsoft Defenderu pro cloud

1. Ve službě Microsoft Sentinel vyberte v navigační nabídce Datové konektory.

2. V galerii datových konektorů vyberte Microsoft Defender for Cloud a v podokně podrobností vyberte Otevřít stránku konektoru.

3. V části Konfigurace se zobrazí seznam předplatných ve vašem tenantovi a stav jejich připojení ke službě Microsoft Defender for Cloud. Vyberte přepínač Stav vedle každého předplatného, jehož upozornění chcete streamovat do Služby Microsoft Sentinel. Pokud chcete připojit několik předplatných najednou, můžete to udělat tak, že zaškrtnete políčka vedle příslušných předplatných a pak vyberete tlačítko Připojení na panelu nad seznamem.

   Poznámka:

   • Zaškrtávací políčka a přepínače Připojení budou aktivní jenom u předplatných, pro která máte požadovaná oprávnění.
   • Tlačítko Připojení bude aktivní jenom v případě, že bylo označeno alespoň jedno políčko předplatného.

4. Pokud chcete u předplatného povolit obousměrnou synchronizaci, vyhledejte předplatné v seznamu a v rozevíracím seznamu ve sloupci Obousměrná synchronizace zvolte Povoleno. Pokud chcete povolit obousměrnou synchronizaci u několika předplatných najednou, označte jejich zaškrtávací políčka a na panelu nad seznamem zaškrtněte tlačítko Povolit obousměrnou synchronizaci .

   Poznámka:

   • Zaškrtávací políčka a rozevírací seznamy budou aktivní jenom u předplatných, pro která máte požadovaná oprávnění.
   • Tlačítko Povolit obousměrnou synchronizaci bude aktivní pouze v případě, že je zaškrtnuté políčko alespoň jednoho předplatného.

5. Ve sloupci plánů v programu Microsoft Defender v seznamu můžete zjistit, jestli jsou ve vašem předplatném povolené plány Programu Microsoft Defender (předpoklad pro povolení konektoru). Hodnota pro každé předplatné v tomto sloupci bude buď prázdná (což znamená, že nejsou povolené žádné plány Defenderu), "Vše povoleno" nebo "Některé povolené". Ti, kteří říkají "Některé povolené", budou mít také možnost Povolit všechny odkazy, které můžete vybrat. Tím přejdete na řídicí panel konfigurace Microsoft Defenderu pro cloud pro toto předplatné, kde můžete zvolit plány Defenderu, které chcete povolit. Tlačítko Povolit Microsoft Defender pro všechna předplatná na panelu nad seznamem vás převedou na stránku Začínáme v programu Microsoft Defender for Cloud, kde si můžete vybrat, pro která předplatná chcete povolit Microsoft Defender pro cloud úplně.

   

6. Můžete vybrat, jestli chcete, aby výstrahy z programu Microsoft Defender for Cloud automaticky generovaly incidenty v Microsoft Sentinelu. V části Vytvořit incidenty vyberte Povoleno, pokud chcete zapnout výchozí analytické pravidlo, které automaticky vytváří incidenty z výstrah. Toto pravidlo pak můžete upravit v části Analýza na kartě Aktivní pravidla .

   Tip

   Při konfiguraci vlastních analytických pravidel pro výstrahy z Programu Microsoft Defender pro cloud zvažte závažnost upozornění, abyste se vyhnuli otevření incidentů pro informační výstrahy.

   Informační výstrahy v programu Microsoft Defender for Cloud nepředstavují vlastní bezpečnostní riziko a jsou relevantní pouze v kontextu existujícího otevřeného incidentu. Další informace najdete v tématu Výstrahy zabezpečení a incidenty v programu Microsoft Defender for Cloud.

Vyhledání a analýza dat

Poznámka:

Synchronizace výstrah v obou směrech může trvat několik minut. Změny stavu výstrah se nemusí zobrazit okamžitě.

• Výstrahy zabezpečení jsou uloženy v tabulce SecurityAlert v pracovním prostoru služby Log Analytics.

• Pokud chcete dotazovat výstrahy zabezpečení v Log Analytics, zkopírujte následující údaje do okna dotazu jako výchozí bod:

  SecurityAlert 
  | where ProductName == "Azure Security Center"
  

• Další užitečné ukázkové dotazy, šablony analytických pravidel a doporučené sešity najdete na kartě Další kroky na stránce konektoru.

Další kroky

V tomto dokumentu jste zjistili, jak propojit Microsoft Defender for Cloud s Microsoft Sentinelem a synchronizovat mezi nimi výstrahy. Další informace o službě Microsoft Sentinel najdete v následujících článcích:

• Zjistěte, jak získat přehled o datech a potenciálních hrozbách.
• Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel.
• Napište vlastní pravidla pro detekci hrozeb.